À propos de l’Interface de ligne de commande FXOS

Pour Firepower 1000, 2100 et Cisco Secure Firewall 1200/3100/4200 en mode appareil, seules les commandes d’affichage et de dépannage avancé sont disponibles à partir de l’interface de la ligne de commande Cisco Secure Firewall eXtensible Operating System (FXOS).

Pour Firepower 2100 en mode plateforme, vous devez utiliser FXOS pour configurer les paramètres de fonctionnement de base et les paramètres de l’interface matérielle. Pour en savoir plus sur la configuration de Cisco Secure Firewall ASA avec FXOS, consultez le Firepower 2100 ASA Platform Mode FXOS Configuration Guide (Guide de configuration FXOS pour Firepower 2100 ASA en mode plateforme).

Modèle d’objet géré de l'Interface de ligne de commande FXOS

FXOS utilise un modèle d’objet géré, où les objets gérés sont des représentations abstraites d’entités physiques ou logiques qui peuvent être gérées. Par exemple, les châssis, les modules de réseau, les ports et les processeurs sont des entités physiques représentées sous forme d’objets gérés, et les licences, les rôles d’utilisateur et les politiques de plateforme sont des entités logiques représentées sous forme d’objets gérés.

Quatre commandes générales sont disponibles pour la gestion des objets :

  • create objet

  • delete objet

  • enter objet

  • scope objet


Remarque

Pour le mode appareil, les commandes create et delete ne sont pas disponibles.

Vous pouvez utiliser la commande scope avec n’importe quel objet géré, qu’il soit un objet permanent ou un objet d’instance d’utilisateur. Les autres commandes vous permettent de créer et de gérer des objets créés par l’utilisateur. Pour chaque commande create objet , il existe une commande delete objet et enter objet correspondante. Vous pouvez utiliser la commande enter objet pour créer de nouveaux objets et modifier des objets existants, vous pouvez donc l’utiliser à la place de la commande create objet , qui générera une erreur si un objet existe déjà.

À tout moment, vous pouvez saisir le caractère ? pour afficher les options disponibles à l’état actuel de la syntaxe de la commande.

Accéder à l’ASA et l’Interface de ligne de commande FXOS en mode appareil

Vous pouvez utiliser l’ASA et l’interface de ligne de commande pour résoudre les problèmes ou configurer l’ASA au lieu d'utiliser ASDM. Vous pouvez accéder à l’interface de ligne de commande en vous connectant au port de console. Vous pouvez ultérieurement configurer l'accès SSH à l’ASA sur n'importe quelle interface; l'accès SSH est désactivé par défaut. Consultez le guide de configuration des opérations générales de l’ASA pour obtenir plus de renseignements.

Vous pouvez également accéder à l’Interface de ligne de commande FXOS depuis l’ASA et l’interface de ligne de commande à des fins de résolution des problèmes.

Procédure

Étape 1

Connectez votre ordinateur de gestion au port de console. Assurez-vous d’installer les pilotes série nécessaires à votre système d’exploitation. Utilisez les paramètres de série suivants :

  • 9600 bauds

  • 8 bits de données

  • Pas de parité

  • 1 bit d’arrêt

Vous vous connectez à l’interface de ligne de commande de l’ASA. Aucun identifiant d’utilisateur n’est requis pour l’accès à la console par défaut.

Étape 2

Accédez au mode d'exécution privilégié.

enable

Lors de votre première saisie de la commande enable , vous devrez modifier le mot de passe.

Exemple:


ciscoasa> enable
Password:
The enable password is not set. Please set it now.
Enter Password: ******
Repeat Password: ******
ciscoasa#

Le mot de passe d’activation que vous définissez sur l'ASA est également le mot de passe de l'utilisateur administrateur FXOS si l'ASA ne parvient pas à démarrer et que vous passez en mode Failsafe (sécurité intégrée) dans FXOS.

Toutes les commandes non liées à la configuration sont disponibles en mode d'exécution privilégié. Vous pouvez également passer en mode de configuration à partir du mode d'exécution privilégié.

Pour quitter le mode d'exécution privilégié, entrez la commande disable , exit ou quit .

Étape 3

Accédez au mode de configuration globale.

configure terminal

Exemple:


ciscoasa# configure terminal
ciscoasa(config)#

Vous pouvez commencer à configurer l’ASA à partir du mode de configuration globale. Pour quitter le mode de configuration globale, entrez la commande exit , quit ou end .

Étape 4

(Facultatif) Connectez-vous au Interface de ligne de commande FXOS.

connect fxos [admin]

  • admin  : fournit un accès au niveau administrateur. Sans cette option, les utilisateurs ont un accès en lecture seule. Notez qu'aucune commande de configuration n'est disponible même en mode admin.

Vous n'êtes pas invité à saisir les informations d'authentification de l'utilisateur. Le nom d'utilisateur actuel de l'ASA est transmis au moyen de FXOS, et aucune connexion supplémentaire n'est requise. Pour revenir à l’interface de ligne de commande de l’ASA, entrez exit ou tapez Ctrl-Shift-6, x.

À l'intérieur de FXOS, vous pouvez visualiser l'activité des utilisateurs en utilisant la commande scope security/show audit-logs .

Exemple:


ciscoasa# connect fxos admin
Connecting to fxos.
Connected to fxos. Escape character sequence is 'CTRL-^X'.
firepower# 
firepower# exit
Connection with FXOS terminated.
Type help or '?' for a list of available commands.
ciscoasa#

Accéder à l’ASA et à l’Interface de ligne de commande FXOS en mode plateforme

Cette section décrit comment vous connecter à la console FXOS et à l’ASA et comment vous connecter à FXOS avec SSH.

Se connecter à FXOS avec SSH

Vous pouvez vous connecter à FXOS sur Management 1/1 avec l’adresse IP par défaut, 192.168.45.45. Si vous configurez la gestion à distance, vous pouvez également vous connecter à l’adresse IP de l’interface de données sur le port non standard, par défaut, 3022.

Pour vous connecter à l’ASA en utilisant le protocole SSH, vous devez d’abord configurer l’accès au protocole SSH en fonction de l’ASA general operations configuration guide (Guide de configuration des opérations générales de l’ASA).

Vous pouvez vous connecter à l’interface de ligne de commande de l’ASA à partir de FXOS, et vice versa.

FXOS permet jusqu’à 8 connexions SSH.

Procédure

Étape 1

Sur l’ordinateur de gestion connecté à Management 1/1, connectez-vous à l’aide du protocole SSH à l’adresse IP de gestion (par défaut https://192.168.45.45, avec le nom d’utilisateur admin et le mot de passe Admin123).

Vous pouvez vous connecter avec n’importe quel nom d’utilisateur si vous avez ajouté des utilisateurs dans FXOS. Si vous configurez la gestion à distance, connectez-vous à l’aide du protocole SSH à l’adresse IP de l’interface de données de l’ASA sur le port 3022 (le port par défaut).

Étape 2

Connectez-vous à l’interface de ligne de commande de l’ASA.

connect asa

Pour retourner à la Interface de ligne de commande FXOS, entrez Ctrl+a, d.

Exemple:


firepower-2110# connect asa
Attaching to Diagnostic CLI ... Press 'Ctrl+a then d' to detach.
Type help or '?' for a list of available commands.
ciscoasa>

Étape 3

Si vous vous connectez à l’aide du protocole SSH à l’ASA (après avoir configuré l’accès SSH sur l’ASA), connectez-vous à l’Interface de ligne de commande FXOS.

connect fxos

Vous serez invité à vous authentifier pour accéder à FXOS. Utilisez le nom d’utilisateur par défaut admin et le mot de passe Admin123. Pour revenir à l’interface de ligne de commande de l’ASA, entrez exit ou tapez Ctrl-Shift-6, x.

Exemple:


ciscoasa# connect fxos
Connecting to fxos.
Connected to fxos. Escape character sequence is 'CTRL-^X'.

FXOS 2.2(2.32) kp2110

firepower-2110 login: admin
Password: Admin123
Last login: Sat Jan 23 16:20:16 UTC 2017 on pts/1
Successful login attempts for user 'admin' : 4
Cisco Firepower Extensible Operating System (FX-OS) Software

[…]

firepower-2110# 
firepower-2110# exit
Remote card closed command session. Press any key to continue.
Connection with fxos terminated.
Type help or '?' for a list of available commands.
ciscoasa#

Se connecter au port de console pour accéder à FXOS et à l’interface de ligne de commande de l'ASA

Le port de console du Firepower 2100 vous permet de vous connecter à l’Interface de ligne de commande FXOS. À partir de l’Interface de ligne de commande FXOS, vous pouvez ensuite vous connecter à la console de l'ASA, et inversement.

Vous ne pouvez avoir qu’une seule connexion de console à la fois. Lorsque vous vous connectez à la console de l'ASA depuis la console FXOS, cette connexion est une connexion de console persistante, pas comme une connexion Telnet ou SSH.

Procédure

Étape 1

Connectez votre ordinateur de gestion au port de console. Le châssis Firepower 2100 est livré avec un câble série DB-9 à RJ-45, vous aurez donc besoin d’un câble série USB tiers pour établir la connexion. Assurez-vous d’installer les pilotes série USB nécessaires à votre système d’exploitation. Utilisez les paramètres de série suivants :

  • 9600 bauds

  • 8 bits de données

  • Pas de parité

  • 1 bit d’arrêt

Vous vous connectez à l’Interface de ligne de commande FXOS. Entrez les informations d'identification de l'utilisateur; par défaut, vous pouvez vous connecter avec l’utilisateur admin et le mot de passe par défaut, Admin123. Vous êtes invité à changer le mot de passe admin lors de la première connexion.

Étape 2

Connectez-vous à l’ASA :

connect asa

Exemple:


firepower-2110# connect asa
Attaching to Diagnostic CLI ... Press 'Ctrl+a then d' to detach.
Type help or '?' for a list of available commands.
ciscoasa>

Étape 3

Retournez à la console FXOS, entrez Ctrl+a, d.

Enregistrer et filtrer la sortie d'une commande « show »

Vous pouvez enregistrer la sortie des commandes show en redirigeant la sortie vers un fichier texte. Vous pouvez filtrer la sortie des commandes show en canalisant la sortie vers les commandes de filtrage.

L’enregistrement et le filtrage de la sortie sont disponibles avec toutes les commandes show , mais sont plus utiles lorsqu’il s’agit de commandes qui produisent beaucoup de texte. Par exemple, vous pouvez afficher tout ou partie de la configuration à l’aide de la commande show configuration . La copie de la sortie de configuration fournit un moyen de sauvegarder et de restaurer une configuration.


Remarque

Les commandes de type « show » (affichage) n’affichent pas les secrets (champs de mot de passe), donc si vous souhaitez coller une configuration dans un nouveau dispositif, vous devrez modifier la sortie d’affichage pour inclure les mots de passe réels.

Filtrer la sortie d'une commande « show »

Pour filtrer la sortie d’une commande show , utilisez les sous-commandes suivantes. Notez que dans la description de syntaxe suivante, la barre verticale initiale | après la commande show est le caractère de barre verticale et fait partie de la commande, et ne fait pas partie de la description de syntaxe. Les options de filtrage sont saisies après le caractère initial | de la commande.

show commande | { begin expression| count| cut expression| egrep expression| end expression| exclude expression| grep expression| head| include expression| last| less| no-more| sort expression| tr expression| uniq expression| wc}

Options de filtrage

Voici les sous-commandes de filtrage :

  • begin  : trouve la première ligne où le modèle spécifié est trouvé et affiche cette ligne et toutes les lignes suivantes.

  • count  : compte le nombre de lignes.

  • cut  : supprime (« coupe » ou « cut » en anglais) des parties de chaque ligne.

  • egrep  : affiche uniquement les lignes qui correspondent au modèle de type étendu.

  • end  : se termine par la ligne correspondant au modèle.

  • exclude  : exclut toutes les lignes qui correspondent au modèle et affiche toutes les autres lignes.

  • grep  : affiche uniquement les lignes qui correspondent au modèle.

  • head  : affiche les premières lignes.

  • include  : affiche uniquement les lignes qui correspondent au modèle.

  • last  : affiche les dernières lignes.

  • less  : filtres pour la pagination.

  • no-more  : désactive la pagination pour la sortie de la commande.

  • sort  : trie les lignes (trieur de flux).

  • tr  : déplace, compresse ou supprime les caractères.

  • uniq  : supprime toutes les lignes identiques successives, sauf une.

  • wc  : affiche le nombre de lignes, de mots et de caractères.

expression

Une expression, ou un modèle, est généralement une simple chaîne de texte. N’enveloppez pas l’expression dans des guillemets anglais simples ou doubles; ceux-ci seront considérés comme faisant partie de l’expression. De plus, les espaces de fin seront inclus dans l’expression.


Remarque

Plusieurs de ces sous-commandes ont des options supplémentaires qui vous permettent de contrôler davantage le filtrage. Par exemple, avec show configuration | head et show configuration | last, vous pouvez utiliser le mot-clé lines pour modifier le nombre de lignes affichées; la valeur par défaut est 10. En guise d’exemple supplémentaire, avec show configuration | sort, vous pouvez ajouter l’option -u pour supprimer les lignes en double de la sortie. (Les descriptions complètes de ces options dépassent le cadre de ce document; reportez-vous à la sortie d’aide FXOS pour les différentes commandes et à l’aide Linux appropriée pour de plus amples informations.)

Exemples

L’exemple suivant montre comment déterminer le nombre de lignes actuellement dans le journal des événements du système : 


FP9300-A# show sel 1/1 | count
3008
FP9300-A#

L’exemple suivant montre comment afficher les lignes du journal des événements du système qui incluent la chaîne « error » (erreur) : 


FP9300-A# show sel 1/1 | include error
968 | 05/15/2016 16:46:25 | CIMC | System Event DDR4_P2_H2_EC
C #0x99 | Upper critical - going high | Asserted | Reading 20
000 >= Threshold 20000 error 
FP9300-A#

Thèmes connexes

Enregistrer la sortie d'une commande « show »

Enregistrer la sortie d'une commande « show »

Vous pouvez enregistrer la sortie des commandes show en redirigeant la sortie vers un fichier texte.

show commande [ > { ftp:| scp:| sftp:| tftp:| volatile: | workspace:} ] | [ >> { volatile: | workspace:} ]

Syntax Description

> { ftp:| scp:| sftp:| tftp:| volatile: | workspace:}

Redirige la sortie de la commande show vers un fichier texte précisé en utilisant le protocole de transport sélectionné.

Après avoir saisi la commande, vous serez invité à indiquer le nom ou l’adresse IP du serveur distant, le nom d’utilisateur, le chemin de fichier, etc.

Si vous appuyez sur Entrée à ce stade, la sortie est enregistrée localement.

>> { volatile: | workspace:}

Ajoute la sortie de la commande show au fichier texte approprié, qui doit déjà exister.

Exemple

L’exemple suivant tente d’enregistrer la configuration actuelle dans l’espace de travail du système; un fichier de configuration existe déjà et vous pouvez choisir de le remplacer ou non. 

FP9300-A# show configuration > workspace
File already exists, overwrite (y/n)?[n]n
Reissue command with >> if you want to append to existing file

FP9300-A#

Thèmes connexes

Filtrer la sortie d'une commande « show »